Lovgate.H

LOVGATE.H, destructivo gusano/troyano/backdoor infecta vía Correo y puertos TCP controlando los sistemas.

W32/Lovgate.H@mm, Troj/Lovgate.H

Lovgate.H es un gusano/troyano/backdoor reportado el 13 de Mayo del 2003, variante del Lovgate, que se propaga a través de mensajes de correo, ingresa además por el puerto TCP 10168, se conecta a servidores remotos e infecta archivos en unidades de red con recursos compartidos, tomando el control de los sistemas.

El puerto 10168 es usado por el ezbounce, que es un proxy muy configurable del IRC y contiene poderosas opciones, tales como "spoofing", acceso de control remoto, etc. Fue creado Murat Deligonul, al parecer sin la intención de que sea usado como un troyano/backdoor:

http://druglord.freelsd.org/ezbounce

En caso que el equipo infectado tenga instalado Windows NT, 2000 o XP, el gusano intenta disfrazarse como un proceso normal LSASS.EXE de Windows, que es una autenticación de seguridad local en servidores NT.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, desarrollado en Visual C++ con una extensión de 124.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Como gusano de correo cuenta con dos rutinas. Emplea su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía a todos los buzones de correo extraídos de los archivos HTML.

Rutina 1
Asunto, uno de los siguientes:
Reply to this!
Let's Laugh
Last Update
for you
Great
Help
Attached one Gift for u..
Hi Dear
See the attachement

Contenido, uno de los siguientes:
For further assistance, please contact!
Copy of your message, including all the headers is attached.
This is the last cumulative update.
Tiger Woods had two eagles Friday during his victory over Stephen Leaney. (AP Photo/Denis Poroy)
Send reply if you want to be official beta tester.
This message was created automatically by mail delivery software (Exim).
It's the long-awaited film version of the Broadway hit. Set in the roaring 20's, this is the story of Chicago chorus girl Roxie Hart (Zellweger), who shoots her unfaithful lover (West).
Adult content!!! Use with parental advisory.
Patrick Ewing will give Knick fans something to cheer about Friday night.
Send me your comments...

Anexado, uno de los siguientes:
About_Me.txt.pif
driver.exe
Doom3 Preview!!!.exe
enjoy.exe
YOU_are_FAT!.TXT.pif
Source.exe
Interesting.exe
README.TXT.pif
images.pif
Pics.ZIP.scr

Rutina 2
Asunto, Re: [Asunto_Original]

Contenido:
<nombre_de_remitente> wrote:
===
> <contenido_del_mensaje_original>
>
===
<remitente_original> auto-reply:

> Get your FREE <nombre_del_servidor original_del_remitente> now! <

If you can keep your head when all about you
Are losing theirs and blaming it on you;
If you can trust yourself when all men doubt you,
But make allowance for their doubting too;
If you can wait and not be tired by waiting,
Or, being lied about,don't deal in lies,
Or, being hated, don't give way to hating,
And yet don't look too good, nor talk too wise;
... ... more look to the attachment.

Anexado, uno de los siguientes:
the hardcore game-.pif
Sex in Office.rm.scr
Deutsch BloodPatch!.exe
s3msong.MP3.pif
Me_nude.AVI.pif
How to Crack all gamez.exe
Macromedia Flash.scr
SETUP.EXE
Shakira.zip.exe
dreamweaver MX (crack).exe
StarWars2 - CloneAttack.rm.scr
Industry Giant II.exe
DSL Modem Uncapper.rar.exe
joke.pif
Britney spears nude.exe.txt.exe
I am For u.doc.exe

Al ejecutar el archivo infectado, el gusano se autocopia a la carpeta %System% con los siguientes nombres:

Ravmond.exe
iexplore.exe
WinGate.exe
WinDriver.exe
Winrpc.exe
Winhelp.exe
winexe.exe
Kernel66.dll

configurando sus Atributos a "solo-lectura", "oculto" y "sistema".

Luego copia los siguientes archivos también a la carpeta %System% y los ejecuta:

Task688.dll
ily668.dll
Reg678.dll
Win32vxd.dll

Estos archivos son los componentes del troyano/backdoor y para activares la próxima vez que se inicie el sistema genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Program in Windows" = "%System%\iexplore.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Remote Procedure Call Locator" = "rundll32.exe reg678.dll ondll_reg"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"WinGate initialize" = "%System%\WinGate.exe -remoteshell"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"winhelp" = "%System%\winhelp.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Además agrega los siguientes valores a estas llaves de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
run = "RAVMOND.EXE"

El gusano además modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .EXE:

[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
default = "%System%\win.exe "%1" %*

Igualmente modificará la siguiente llave, con el propósito de activarse cada vez que se ejecute cualquier archivo con extensión .TXT:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
default = "%System%\winrpc.exe "%1" %*

Al siguiente re-inicio del sistema, el gusano se copiará a las carpetas y sub-carpetas de las redes de recursos compartidos, con los siguientes nombres de archivos:

Are you looking for Love.doc.exe
autoexec.bat
The world of lovers.txt.exe
How To Hack Websites.exe
Panda Titanium Crack.zip.exe
Mafia Trainer!!!.exe
100 free essays school.pif
AN-YOU-SUCK-IT.txt.pif
Sex_For_You_Life.JPG.pif
CloneCD + crack.exe
Age of empires 2 crack.exe
MoviezChannelsInstaler.exe
Star Wars II Movie Full Downloader.exe
Winrar + crack.exe
SIMS FullDownloader.zip.exe
MSN Password Hacker and Stealer.exe

Actuando como troyano/backdoor se conecta a los puertos 1092, 20168 y 6000, notificando al hacker a través de direcciones aleatorias de correo de los dominios @163.com, @yahoo.com y @sina.com

El backdoor ejecuta una rutina de autenticación de passwords, contenida dentro del código del gusano a través del puerto 1092 y una vez acertada la clave de acceso correcta, el gusano activa un comando shell para ser enviado al hacker poseedor del software Cliente.

El gusano captura todas las direcciones de correo de los archivos con extensión HTML y responde a todos los mensajes que ingresan a la carpeta de Microsoft Outlook.

Para intentar ingresar como "Administrador" al servidor, el gusano rastrea en todas las unidades de la red local, usando los siguientes passwords:

zxcv
yxcv
xxx
win
test123
test
temp123
temp
sybase
super
sex
secret
pwd
pw123
Password
owner
oracle
mypc123
mypc
mypass123
mypass
love
login
Login
Internet
home
godblessyou
god
enable
database
computer
alpha
admin123
Admin
abcd
aaa
88888888
2600
2003
2002
123asd
123abc
123456789
1234567
123123
121212
11111111
110
007
00000000
000000
pass
54321
12345
password
passwd
server
sql
!@#$%^&*
!@#$%^&
!@#$%^
!@#$%
asdfgh
asdf
!@#$
1234
111
root
abc123
12345678
abcdefg
abcdef
abc
888888
666666
111111
admin
administrator
guest
654321
123456
321
123

El gusano ingresará como "Administrador" si no existiese ningún password asignado en la computadora remota y de lograrlo creará copias de sí mismo como:

\\nombre_de_computadora_remota\admin$\system32\Net_Services.exe

y para activar el archivo como el servicio Microsoft NetWork FireWall Services, crea el servicio Windows Management Instrumentation Driver Extension, el cual es compartido a:

%System%\WinDriver.exe

Crea el servicio NetMeeting Remote Desktop (RPC) Sharing, el cual es compartido a:

"Rundll32.exe" = task688.dll ondll_server"

El gusano se registra así mismo como un servicio y continúa ejecutándose, aún cuando el usuario se desconecte de la red.

Activa unas rutinas backdoor, como un hilo en Lsass.exe, a través de los puertos 1092 y 20168

También activa un proceso de monitoreo como un hilo dentro de Explorer.exe o Taskmgr.exe. Este hilo remoto conectará a %System32%\Iexplore.exe si el proceso del gusano es terminado.

Crea un mutex con el nombre I---WORM---IPC---20168, para indicar que el gusano ya está siendo ejecutado.

Los payloads de este gusano/troyano/backdoor son los siguientes:

Se auto-envía masivamente a través de mensajes de correo con dos rutinas diferentes.
Captura las direcciones contenidas en los archivos HTML y responde a todos los mensajes que ingresan a la carpeta de the Microsoft Outlook.
Se propaga e infecta archivos de unidades de disco de redes con recursos compartidos.
Como Troyano/Backdoor ingresa a través del puerto 10168 usando la aplicación "ezbounce".
Intenta ingresar como "Administrador" con passwords pre-definidos.
Captura información del sistema y la envía al hacker a través de direcciones aleatorias de 3 dominios diferentes de correo.
Obtiene el control de Acceso Remoto de los sistemas infectados.
Borra archivos y formatea el disco duro.

PER ANTIVIRUS® versiones 8.0 y 8.1, con registro de virus al 13 de Mayo del 2003 detectan y eliminan eficientemente este gusano/troyano/backdoor.